雲端安全缺統一監察增風險 7成企業依賴供應商責任

科技 18:43 2019/10/24

分享:

Palo Alto Networks香港及澳門董事總經理馮志剛(右)表示,企業需意識雲端安全責任講求「共同承擔」。(張凱傑攝)

為了即時儲存及分析龐大數據,雲端服務漸成大勢所趨,但引入愈多保安工具卻不代表愈安全。網絡安全公司Palo Alto Networks發表調查報告,發現逾半港企使用超過10種工具保護雲端,但大量保安工具卻會分散部署,令安全管理變得複雜,更甚是大部分企業將雲端安全的責任完全落在雲端供應商身上。

Palo Alto Networks委託研究機構Ovum Research,訪問500名來自澳洲、中國內地、香港、印度及新加坡的企業持有人、業務主管及高級管理人員,了解香港及亞太區大型機構的雲端安全狀況。受訪機構需擁有200名或以上員工,並使用公有雲。

調查發現,逾8成機構視網絡安全和私隱為雲端應用最大挑戰,三大網絡安全威脅分別為不安全的應用程式介面(62%)、缺乏對所有雲端資產統一監察(58%)、數據洩漏及遺失(47%)。當中76% 機構認為雲端供應商提供的保安,已經足以免受雲端相關威脅。但報告指出,企業將雲端安全的責任完全落在雲端供應商身上,甚至假設公有雲為默認安全,反映對網絡安全的認知與現實不符。

多種保安工具反令管理複雜

面對雲端遇到的網絡安全威脅,不少企業因而會在網絡架構,採用防火牆、進階端點等不同保安工具防護。逾6成受訪香港企業就使用逾10種工具保護雲端,更有一間美國公司曾採用近240種工具。不過,報告認為擁有大量保安工具會導致安全部署零散,增加雲端安全管理的複雜性,採用多雲端環境運作的企業尤其明顯。

事實上,68%受訪機構認為多雲端方案會造成缺乏統一監察的風險,調查亦只有三分一機構設有統一監察。Ovum亞太區諮詢服務總監Andrew Milroy表示,大型機構普遍以多雲端方式運作,有需要就所有雲端原生服務擁有統一的安全監察。他認為,具備人工智能等技術的中央監察平台有助預防惡意軟件威脅,並可在數據意外洩漏時迅速補救。

逾8成機構視網絡安全和私隱為雲端應用最大挑戰,但不少企業將雲端安全的責任落在供應商身上。(資料圖片)

7成半企業無每年網絡安全審核

另外,報告亦反映企業就雲端安全培訓和投放資源不足。逾7成半機構從未或未有每年進行至少一次網絡安全審核,即使有網絡安全審核,四分之一亦不包括雲端資源。而57%香港機構亦沒有為資訊科技員工每年提供網絡安全培訓,非資訊科技員工更甚高達7成。

報告建議企業要將網絡安全成為加速雲端應用的條件,所有類型的雲端部署亦要製定一致的安全策略,並透過工具協助統一監察所有雲端資產及威脅。報告鼓勵採用人工智能將威脅情報過程自動化,避免人為錯誤,同時增加安全審核和員工培訓。

雲端安全責任講求「共同承擔」

Palo Alto Networks香港及澳門董事總經理馮志剛解釋,許多企業會針對防火牆、移動應用、無綫網絡等不同部分,而各自採用不同的保安工具,但各工具沒有溝通,令偵測問題和修復回應的時間長,也令員工需要學習每套工具,增加管理困難,因而建議企業透過統一平台「共享」數據和管理,從而加快偵測和回應問題。

目前Palo Alto Networks與AWS、Azure、Google Cloud及阿里雲,提供雲端網絡安全解決方案。他寄語企業,需要意識到雲端安全的責任講求「共同承擔」,雲端供應商需就架構安全負責,企業亦需對數據及應用程式的安全承擔責任。

記者:張凱傑

緊貼財經時事新聞分析,讚好hket Facebook 專版